Quando si tratta di proteggere la propria attività, non si è mai troppo attenti. Ecco perché in un'epoca di attacchi DDoS e phishing può essere utile avere un'assicurazione dalla tua parte. Gli hacker etici, a volte indicati come "cappelli bianchi", possiedono le stesse competenze degli hacker criminali, solo che li usano per trovare e correggere i punti deboli nella tecnologia Internet di un'azienda piuttosto che sfruttarli. Se hai bisogno di un hacker etico, inizia formulando una chiara dichiarazione di intenti che delinei ciò che speri di ottenere con il loro aiuto. È quindi possibile cercare candidati qualificati tramite programmi di certificazione ufficiali o marketplace di hacker online.
Passi
Parte 1 di 3: riempire la posizione
Passaggio 1. Valutare i rischi di non essere protetti
Potrebbe essere allettante provare a risparmiare denaro rimanendo con il tuo team IT esistente. Senza un backup specializzato, tuttavia, i sistemi IT della tua azienda saranno vulnerabili ad attacchi troppo sofisticati per essere catturati dal mago del computer medio. Tutto ciò che servirebbe è uno di questi attacchi per arrecare gravi danni alle finanze e alla reputazione della tua azienda.
- Tutto sommato, il costo medio per proteggere e ripulire una violazione dei dati online è di circa $ 4 milioni.
- Pensa all'assunzione di un cappello bianco come alla stipula di una polizza assicurativa. Qualunque sia il comando dei loro servizi è un piccolo prezzo da pagare per la tua tranquillità.
Passaggio 2. Identifica le esigenze di sicurezza informatica della tua azienda
Non è sufficiente decidere semplicemente che è necessario rafforzare le difese di Internet. Elabora una dichiarazione di intenti che delinei esattamente ciò che speri di ottenere assumendo un esperto esterno. In questo modo, sia tu che il tuo candidato avrete un'idea chiara dei loro compiti.
- Ad esempio, la tua società finanziaria potrebbe aver bisogno di una maggiore protezione dallo spoofing dei contenuti o dall'ingegneria sociale, oppure la tua nuova app per gli acquisti potrebbe mettere i clienti a rischio di furto dei dati della carta di credito.
- La tua dichiarazione dovrebbe funzionare come una sorta di lettera di presentazione inversa. Non solo pubblicizzerà la posizione, ma descriverà anche l'esperienza specifica che stai cercando. Ciò ti consentirà di eliminare i candidati occasionali e trovare la persona migliore per il lavoro.
Passaggio 3. Preparati a offrire una retribuzione competitiva
Avere un hacker etico dalla tua parte è una mossa saggia, ma non è economica. Secondo PayScale, la maggior parte dei cappelli bianchi può aspettarsi di guadagnare $ 70.000 o più all'anno. Ancora una volta, è importante tenere a mente che il lavoro che svolgeranno vale quello che chiedono. È un investimento che molto probabilmente non puoi permetterti di non fare.
Una retribuzione gonfiata è una piccola battuta d'arresto finanziaria rispetto a un buco nel sistema IT da cui la tua azienda dipende per realizzare un profitto
Passaggio 4. Vedi se puoi assumere un hacker per lavoro
Potrebbe non essere necessario mantenere un cappello bianco sul personale IT a tempo pieno. Come parte della dichiarazione degli obiettivi, specifica che stai cercando un consulente per guidare un progetto importante, forse un test di penetrazione esterno o una riscrittura di alcuni software di sicurezza. Ciò ti consentirà di pagare loro un acconto una tantum piuttosto che uno stipendio continuo.
- Lo strano lavoro di consulenza può essere perfetto per gli hacker freelance o per coloro che hanno recentemente ricevuto la loro certificazione.
- Se sei soddisfatto delle prestazioni del tuo esperto di sicurezza informatica, puoi offrire loro la possibilità di lavorare di nuovo con te su progetti futuri.
Parte 2 di 3: rintracciare un candidato qualificato
Passaggio 1. Cerca candidati con certificazione Certified Ethical Hacker (CEH)
L'International Council of Electronic Commerce Consultants (EC-Council in breve) ha risposto alla crescente domanda di hacker etici creando uno speciale programma di certificazione progettato per formarli e aiutarli a trovare lavoro. Se l'esperto di sicurezza che intervisti può indicare la certificazione CEH ufficiale, puoi essere certo che si tratta di un articolo genuino e non di qualcuno che ha imparato il mestiere in un seminterrato buio.
- Mentre le credenziali di hacking possono essere difficili da verificare, i tuoi candidati dovrebbero essere tenuti agli stessi standard rigorosi che farebbero tutti gli altri candidati.
- Evita di assumere qualcuno che non può fornire la prova della certificazione CEH. Dal momento che non hanno una terza parte che garantisca per loro, i rischi sono semplicemente troppo alti.
Passaggio 2. Sfoglia un mercato di hacker etico online
Dai un'occhiata ad alcuni degli elenchi su siti come Hackers List e Neighborhoodhacker.com. Simile alle normali piattaforme di ricerca di lavoro come Monster e Indeed, questi siti compilano voci di hacker idonei che cercano opportunità per applicare le proprie competenze. Questa potrebbe essere l'opzione più intuitiva per i datori di lavoro che sono abituati a un processo di assunzione più tradizionale.
I mercati degli hacker etici promuovono solo specialisti legali e qualificati, il che significa che puoi dormire sonni tranquilli sapendo che il tuo sostentamento sarà in buone mani
Passaggio 3. Ospita un concorso di hacking aperto
Una soluzione divertente che i datori di lavoro hanno iniziato a utilizzare per attirare potenziali candidati è quella di mettere i concorrenti l'uno contro l'altro in simulazioni di hacking testa a testa. Queste simulazioni sono modellate sui videogiochi e sono progettate per mettere alla prova le competenze generali e le capacità decisionali rapide. Il vincitore della tua competizione potrebbe essere proprio quello che ti fornirà il supporto che stavi cercando.
- Chiedi al tuo team tecnico di creare una serie di enigmi modellati su sistemi IT comuni o acquista una simulazione più sofisticata da uno sviluppatore di terze parti.
- Supponendo che ideare la tua simulazione sia troppo lavoro o spesa, potresti anche provare a entrare in contatto con i vincitori del passato di competizioni internazionali come Global Cyberlympics.
Passaggio 4. Forma un membro del tuo staff per gestire i tuoi compiti di contro-hacking
Chiunque è libero di iscriversi al programma EC-Council utilizzato dai white hat per ottenere la certificazione CEH. Se preferisci mantenere una posizione di così alto profilo all'interno dell'azienda, considera di far partecipare al corso uno dei tuoi attuali dipendenti IT. Lì, verrà loro insegnato a eseguire tecniche di test di penetrazione che possono quindi essere utilizzate per sondare le perdite.
- Il programma è strutturato come una lezione pratica di 5 giorni, con un esame completo di 4 ore svolto l'ultimo giorno. I partecipanti devono ottenere un punteggio di almeno il 70% per passare.
- Il costo per sostenere l'esame è di $ 500, oltre a un costo aggiuntivo di $ 100 per gli studenti che scelgono di studiare da soli.
Parte 3 di 3: portare un hacker etico nella tua attività
Passaggio 1. Effettuare un controllo approfondito dei precedenti
Sarà necessario che i tuoi candidati siano indagati a fondo prima ancora di pensare di inserirli nel tuo libro paga. Invia le loro informazioni alle risorse umane o a un'organizzazione esterna e guarda cosa escono. Presta particolare attenzione a qualsiasi attività criminale passata, in particolare a quelle relative a reati online.
- Qualsiasi tipo di comportamento criminale che compare nei risultati di un controllo dei precedenti dovrebbe essere considerato un campanello d'allarme (e probabilmente motivo di squalifica).
- La fiducia è la chiave di ogni rapporto di lavoro. Se non puoi fidarti della persona, non appartiene alla tua azienda, non importa quanto sia esperta.
Passaggio 2. Intervista approfonditamente il tuo candidato
Supponendo che il tuo potenziale cliente superi con successo il controllo dei precedenti, il passaggio successivo del processo è condurre un'intervista. Chiedi al tuo responsabile IT un membro delle risorse umane di sedersi con il candidato con un elenco di domande preparate, come "come sei stato coinvolto nell'hacking etico?", "Hai mai svolto altri lavori retribuiti?", "Di che tipo di strumenti che usi per vagliare e neutralizzare le minacce?" e "dammi un esempio di come difendere il nostro sistema da un attacco di penetrazione esterna".
- Incontra faccia a faccia, piuttosto che fare affidamento su telefono o e-mail, in modo da poter avere un'idea precisa del carattere del candidato.
- Se hai dubbi persistenti, pianifica uno o più colloqui di follow-up con un altro membro del team di gestione in modo da poter ottenere una seconda opinione.
Passaggio 3. Assegna il tuo esperto di sicurezza informatica a lavorare a stretto contatto con il tuo team di sviluppo
In futuro, la priorità numero uno del tuo team IT dovrebbe essere prevenire gli attacchi informatici piuttosto che ripulirli. Attraverso questa collaborazione, le persone che creano i contenuti online della tua azienda impareranno pratiche di codifica più sicure, test di prodotto più esaurienti e altre tecniche per superare in astuzia gli aspiranti truffatori.
Avere un hacker etico lì per controllare ogni nuova funzionalità può rallentare leggermente il processo di sviluppo, ma le nuove funzionalità di sicurezza ermetiche che escogitano varranno il ritardo
Passaggio 4. Informati su come la sicurezza informatica influisce sulla tua attività
Approfitta della ricchezza di conoscenze del tuo cappello bianco e impara qualcosa sui tipi di tattiche comunemente usate dagli hacker. Quando inizi a capire come vengono pianificati e condotti gli attacchi informatici, sarai in grado di vederli arrivare.
- Chiedi al tuo consulente di inviare briefing regolari e dettagliati su ciò che hanno scoperto. Un altro modo per rispolverare è analizzare i risultati con l'aiuto del tuo team IT.
- Incoraggia il tuo hacker assunto a spiegare le misure che stanno implementando piuttosto che lasciarli fare le loro cose indiscussi.
Passaggio 5. Tieni d'occhio il tuo hacker assunto
Sebbene sia improbabile che tenteranno qualcosa di senza scrupoli, non è al di fuori del regno delle possibilità. Chiedi agli altri membri del tuo team IT di monitorare il tuo stato di sicurezza e cercare vulnerabilità che prima non c'erano. La tua missione è proteggere la tua attività a tutti i costi. Non perdere di vista il fatto che le minacce possono provenire sia dall'interno che dall'esterno.
- La riluttanza a spiegarti i loro piani o metodi esatti potrebbe essere un segnale di avvertimento.
- Se hai motivo di sospettare che uno specialista in outsourcing stia danneggiando la tua attività, non esitare a interrompere il rapporto di lavoro e a cercarne uno nuovo.
Suggerimenti
- La sicurezza informatica è una preoccupazione vitale per ogni azienda del 21° secolo, dalla più grande società finanziaria alla più piccola startup.
- L'acquisto di un'assicurazione per la sicurezza informatica può garantire che riceverai indietro tutto ciò che perdi in caso di truffa, violazione o perdita di dati.
- Potrebbe essere una buona idea pubblicizzare la tua necessità di un hacker etico su siti come Reddit, dove è noto che i cappelli bianchi parlano di negozio.
Avvertenze
- Stai lontano da agenti liberi non certificati, hacker con forti inclinazioni politiche o religiose e i cosiddetti "hacktivisti". Questi ladri possono tentare di utilizzare le informazioni a cui hanno accesso per scopi insidiosi.
- Lavorare con un hacker, anche etico, potrebbe riflettersi negativamente sulla tua azienda agli occhi dei tuoi partner o clienti.
